No cóż, Biorąc pod uwagę obsługę manualną nie mogę powiedzieć złego słowa na czas reakcji.FreshBTC pisze:Mechanizm resetowania hasła jest, jednak nie jest i nie będzie możliwe resetowania hasła "poprzez guzik". W tym wypadku działamy jak instytucje finansowe, i wymagamy podania dodatkowych danych (co pewnie zainteresowany potwierdzi).
Ku**a! Przestańcie rzucać tymi socjotechnicznymi hasłami bo mi rzygać się chce! Zawsze staracie się dobierać takie słowa, żeby brzmiały one jak najbardziej profesjonalnie. A na dobrą sprawę możecie używać zwykłego rand ze stdc, bo tego i tak nikt nie sprawdzi! Poza tym jaka jest różnica w losowości między tym co się znajduje w stdc, a innych bibliotekach? Miałem kurs o algorytmach losowych i żadna z bibliotek standardowych nie wykorzystuje tych najprostszych algorytmów, więc różnica bezpieczeństwa między biblioteką A a B jest znikoma. A osobiście najbardziej i tak polecam korzystać z /dev/urandom.FreshBTC pisze:Wszystkie dane losowe generowane są przy użyciu kryptograficznie bezpiecznych funkcji (cryptographically secure).
Wciąż czekam na odpowiedź na moje pytanie, które dotyczy tej kwestii. Dodaję 2 pytanie. Co to za zaawansowane techniki autoryzacji użytkownika, że nie można tego poświęcić automatowi? Sprawdzenie czy jego email się zgadza z tym w bazie? Poza tym co jest niebezpiecznego w wysyłaniu emaila resetującego hasło na adres zarejestrowany? Jeżeli jest to niebezpieczne to możecie się domagać wpisania hasła jednorazowego.FreshBTC pisze:Cały system od samego początku był projektowany w taki sposób. Jeszcze nie słyszeliśmy aby ktoś narzekał na brak możliwości resetowania hasła w banku inaczej niż poprzez wcześniejszą autoryzację. W grę wchodzą Państwa pieniądze, przechwycenie dostępu do skrzynki email jest niestety bardzo częstym problemem. Resetowanie hasła poprzez link wysyłany emailem nie wchodzi po prostu w grę.ramzes pisze:Its not a bug! Its a feature!!!
rand z stdc jest bardzo przewidywalny. Słowo klucz "OpenSSL" (http://www.openssl.org/docs/crypto/rand.html).zwierzak pisze:A na dobrą sprawę możecie używać zwykłego rand ze stdc, bo tego i tak nikt nie sprawdzi! Poza tym jaka jest różnica w losowości między tym co się znajduje w stdc, a innych bibliotekach?
Pytaliście o bezpieczeństwo, opisujemy jak jest wykonane generowanie haseł, dopisaliśmy że używamy kryptograficznie bezpiecznych algorytmów losowych (co jest dość ważne w tym przypadku) i to źle ?zwierzak pisze:k!@#$%! Przestańcie rzucać tymi socjotechnicznymi hasłami bo mi rzygać się chce! Zawsze staracie się dobierać takie słowa, żeby brzmiały one jak najbardziej profesjonalnie.
Wymagamy podania danych które znać może tylko użytkownik serwisu i *nie* jest to adres email. Rozumiem że z Twojego punktu widzenia proces powinien wyglądać tak:zwierzak pisze:Sprawdzenie czy jego email się zgadza z tym w bazie?
Następnym razem proszę jednak o robienie lepszego research:zwierzak pisze:Inna sprawa, te wasze hasła jednorazowe to kpina! Nie ma żadnej aplikacji na androida, którą można by dostroić do działania z waszym serwisem. Mówiłem, że mOTP to wymierający system, który nie zapewnia wystarczającego poziomu bezpieczeństwa. Trzeba było wpierw zrobić research rynku zanim zajęliście się implementacją. Ja tak zawszę robię.
A token z aplikacji? W końcu próbujecie stosować 2 stopniową weryfikację.FreshBTC pisze:Wymagamy podania danych które znać może tylko użytkownik serwisu i *nie* jest to adres email. Rozumiem że z Twojego punktu widzenia proces powinien wyglądać tak:zwierzak pisze:Sprawdzenie czy jego email się zgadza z tym w bazie?Jeśli tak, to w momencie kiedy ktoś ma dostęp do danej skrzynki email może bez najmniejszego problemu przejąć dane konto.
- "prośba o reset hasła"
- "token wysyłany przez email"
Proszę wybaczyć, ale nie możemy pozwolić na takie sytuacje.
To dlaczego lista aplikacji sugerowanych nie znajduje się na waszej stronie? Inna sprawa, po wpisaniu do marketu „motp” lub „otp” nie idzie znaleźć wartościowej aplikacji, albo jakieś chińskie, albo gry. A ja jestem zaawansowanym użytkownikiem, a jak ma sobie poradzić początkujący. Tutorial na stronie traktujecie bardzo po macoszemu: ściągnij dobry program, wygeneruj sekret, przepisz go do serwisu i używaj. Ale nigdzie nie jest podane co jest sekretem, jak on wygląda itd.FreshBTC pisze:Następnym razem proszę jednak o robienie lepszego research: Sprawdzaliśmy oprogramowanie pod różne systemy instalowane w telefonach, nie było najmniejszych problemów.
Pytanie pomocnicze, ile kont mam w państwa serwisie? Drugie pytanie, skąd pewność, że konto „zwierzak” w waszym serwisie to moje konto? Do serwisów finansowych używam całkiem innego loginu, a państwo w końcu uważają swój serwis za „finansowy”. Inna sprawa, że informacji o swoich użytkownikach NIGDY nie udostępnia się publicznie, a wy właśnie jedną zdradziliście. Zrozumiał bym gdybyście się spytali w czym mam trudność itd. Samoocene to macie na prawdę wysoką, jesteście mocno zadufani w sobie.FreshBTC pisze:Dodatkowo intrygujące jest to iż na Pana koncie nie ma i nie było skonfigurowanego nigdy OTP.
Jak Pan sam pisał, nie każdy użytkownik używa mOTP.zwierzak pisze:A token z aplikacji? W końcu próbujecie stosować 2 stopniową weryfikację.
Nie zdradziliśmy nic więcej niż sam Pan nie zdradził wcześniej.zwierzak pisze:Inna sprawa, że informacji o swoich użytkownikach NIGDY nie udostępnia się publicznie, a wy właśnie jedną zdradziliście.
Zacytuję tutaj ponownie poprzedni Pański postzwierzak pisze:Zrozumiał bym gdybyście się spytali w czym mam trudność itd. Samoocene to macie na prawdę wysoką, jesteście mocno zadufani w sobie.
Proszę wskazać miejsce w którym pisze Pan o swoim problemie. Ja widzę tylko narzekanie na nasze rozwiązanie, następnie informację o braku aplikacji na Androida, następnie o tym że mOTP wymiera a na sam koniec zarzut odnośnie researchu. Z całym szacunkiem ale Pański wpis nie był informacją o problemie, bądź pytaniem "jak zrobić XYZ". Dlatego dostał Pan w odpowiedzi listę aplikacji na Androida.zwierzak pisze: Inna sprawa, te wasze hasła jednorazowe to kpina! Nie ma żadnej aplikacji na androida, którą można by dostroić do działania z waszym serwisem. Mówiłem, że mOTP to wymierający system, który nie zapewnia wystarczającego poziomu bezpieczeństwa. Trzeba było wpierw zrobić research rynku zanim zajęliście się implementacją. Ja tak zawszę robię.
Zapewne chodzi o atrybut "for", słuszna uwaga. Zostało to przeoczone.zwierzak pisze:Z błędów wyłapnych podczas pracowania na waszej stronie: czy wiecie do czego służy znaczek <label>? Jak dowiecie się to nauczcie się go stosować i zastosujcie tę wiedzę dla zwiększenia wygody używania.
Forum nie jest i nie było oficjalnym kanałem zgłaszania błędów, właśnie dlatego że można przegapić post.zwierzak pisze:I ciągle czekam na odpowiedź na moje pytanie, które zadałem 3 moje posty temu (nie licząc tego). Zawsze u was oczekuje się na odpowiedź tak długo?
Ja, co sie loguje to wywala:FreshBTC pisze:Czy ktoś jeszcze z Państwa ma podobny problem?
Kod: Zaznacz cały
{"status":200}Akurat ta weryfikacja ma sens. Większość internautów to lamerzy i FreshBTC słusznie zakłada, że wcześniej czy później stracą dostęp do swojej skrzynkiramzes pisze:Rozumiem gdyby FreshBTC znało jakieś nasze dane osobowe, pesele, daty urodzenia, adresy, ale gdy przechowują oni jedynie LOGIN/HASŁO/EMAIL to jaki sens ma jakaś procedura przywracania hasła? No nie mogę. Co chcecie weryfikować?
Hm, twoje posty ostatnio są zdecydowanie pochlebne dla Fresh'a i nie widzę prawie żadnej krytyki poza tym. Nabieram podejrzeń że dla nich pracujesz, albo chciałbyś pracować.qertoip pisze:Akurat ta weryfikacja ma sens. Większość internautów to lamerzy i FreshBTC słusznie zakłada, że wcześniej czy później stracą dostęp do swojej skrzynkiramzes pisze:Rozumiem gdyby FreshBTC znało jakieś nasze dane osobowe, pesele, daty urodzenia, adresy, ale gdy przechowują oni jedynie LOGIN/HASŁO/EMAIL to jaki sens ma jakaś procedura przywracania hasła? No nie mogę. Co chcecie weryfikować?
Od początku są pochlebne:ShadowOfHarbringer pisze:Hm, twoje posty ostatnio są zdecydowanie pochlebne dla Fresh'a
Mam to w dupieShadowOfHarbringer pisze:Nabieram podejrzeń że dla nich pracujesz, albo chciałbyś pracować.
To był taki mały test psychologiczny, przeszedłeś go celująco.qertoip pisze:Od początku są pochlebne:ShadowOfHarbringer pisze:Hm, twoje posty ostatnio są zdecydowanie pochlebne dla Fresh'a
http://forum.bitcoin.pl/viewtopic.php?f=7&t=1405
http://forum.bitcoin.pl/viewtopic.php?f ... 5&start=20
http://forum.bitcoin.pl/viewtopic.php?f ... 5&start=40
Mam to w dupieShadowOfHarbringer pisze:Nabieram podejrzeń że dla nich pracujesz, albo chciałbyś pracować.
Nie korzystałem z wypłaty PLN więc:qertoip pisze:Akurat ta weryfikacja ma sens. Większość internautów to lamerzy i FreshBTC słusznie zakłada, że wcześniej czy później stracą dostęp do swojej skrzynkiramzes pisze:Rozumiem gdyby FreshBTC znało jakieś nasze dane osobowe, pesele, daty urodzenia, adresy, ale gdy przechowują oni jedynie LOGIN/HASŁO/EMAIL to jaki sens ma jakaś procedura przywracania hasła? No nie mogę. Co chcecie weryfikować?
Przy resecie hasła mogą pytać np. o imię i nazwisko, numer konta, salda, adres Bitcoin - wszystko to użytkownik podaje handlując monetami. W Mt Gox takie uwierzytelnienie dało radę na dużą skalę.
Ja bym się czepiał głównie wysyłania hasła na e-mail i brakującego wcześniej linka do opisanej procedury. Docelowo tak jak sugerował zwierzak warto całość zautomatyzować bo w dobie Internetu każdy jest cholernie niecierpliwy i wszystko na co trzeba czekać jest wkurzające.
nie wpisałem.imię i nazwisko, numer konta
nie pamiętam.adres Bitcoin
Śmierdzi mi to stosowaniem typów zmiennoprzecinkowych do pieniędzy... - przynajmniej na niektórych etapach... np. przy parsowaniu wewnętrznych JSON-ów, jeśli liczby wysyłane są bez cudzysłowu, to będą odczytane jako float, czyli źle.severson pisze:Mój stan konta w BTC to
0.00079999999999993
Nie potrafię wyjaśnić tego zjawiska.
W PHP jest tylko i wyłącznie frontend serwisu. Żadna część odpowiedzialna za BTC nie jest zrealizowana w PHP.zwierzak pisze:Lol, przecież przy PHP stosuje się tylko zmodyfikowaną wersję bitcoind,
To dobrze, dzięki za wyjaśnienie.FreshBTC pisze:Nie używamy floatów obliczeń związanych z pieniędzmi.
Wszystkie kwoty w systemie przechowywane są w postaci całkowitoliczbowej. Zarówno stan portfela, jak i wartość transakcji etc.
Polskie złotówki jako setki groszy. W komunikacji wewnętrznej i zewnętrznej liczby w JSON nie są przesyłane w postaci tylko właśnie jako stringi.
OK, czekamy na info.FreshBTC pisze:Błąd zostanie oczywiście sprawdzony.
A w czym jest reszta?FreshBTC pisze:W PHP jest tylko i wyłącznie frontend serwisu. Żadna część odpowiedzialna za BTC nie jest zrealizowana w PHP.
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 3 gości
